Plataforma
nodejs
Componente
node.js
Corrigido em
9.1.1
9.1.1
A vulnerabilidade CVE-2026-6410 é um problema de Path Traversal identificado no plugin @fastify/static para Node.js, afetando versões de 8.0.0 até 9.1.0. Um atacante remoto não autenticado pode explorar essa falha para obter listagens de diretórios fora do diretório estático configurado, expondo nomes de arquivos e diretórios. A correção está disponível na versão 9.1.1, e uma solução alternativa é desativar o list option no plugin.
A vulnerabilidade CVE-2026-6410 em @fastify/static afeta as versões 8.0.0 a 9.1.0. Permite a um atacante remoto não autenticado obter listagens de diretórios arbitrários acessíveis ao processo Node.js. Isso ocorre devido a uma falha na função dirList.path() que utiliza path.join() para resolver diretórios sem uma verificação de contenção adequada. Embora o conteúdo dos arquivos não seja revelado, a exposição de nomes de diretórios e arquivos pode ser usada para coletar informações confidenciais sobre a estrutura da aplicação e potencialmente facilitar outros ataques. A severidade CVSS é 5.3, indicando um risco moderado que requer atenção imediata.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP cuidadosamente elaboradas para uma aplicação Fastify que utiliza @fastify/static com a opção 'list' habilitada. Ao manipular o caminho solicitado, o atacante pode enganar a função dirList.path() para resolver diretórios fora do diretório raiz configurado, revelando assim o conteúdo do diretório. A falta de autenticação significa que qualquer usuário remoto pode tentar explorar esta vulnerabilidade. A dificuldade de exploração é baixa, pois não requer habilidades técnicas avançadas ou acesso privilegiado.
Applications utilizing @fastify/static versions 8.0.0 through 9.1.0 with directory listing enabled are at risk. This includes Node.js applications serving static assets, particularly those deployed in production environments where security is paramount. Shared hosting environments using this plugin are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
find / -name "@fastify/static" -exec grep -i 'dirList.path()' {} + | grep -i 'path.join()' • nodejs / server:
ps aux | grep -i '@fastify/static' | grep -i 'list: true'• generic web:
Use curl or wget to check for directory listing endpoints (e.g., /static/). A successful listing indicates potential exposure.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar a dependência @fastify/static para a versão 9.1.1 ou superior. Esta versão corrige a vulnerabilidade implementando uma verificação de contenção adequada dentro da função dirList.path(), evitando que diretórios fora do diretório raiz configurado sejam resolvidos. A atualização imediata é recomendada, especialmente em ambientes de produção. Alternativamente, desabilitar a opção 'list' em @fastify/static é uma mitigação temporária se a atualização imediata não for possível, embora isso limite a funcionalidade de listagem de diretórios.
Actualice el paquete @fastify/static a la versión 9.1.1 o superior para solucionar la vulnerabilidad de path traversal. Como alternativa, desactive el listado de directorios eliminando la opción 'list' de la configuración del plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Path traversal é um tipo de vulnerabilidade de segurança que permite a um atacante acessar arquivos ou diretórios fora do diretório raiz pretendido de uma aplicação.
Sim, a vulnerabilidade afeta todos os ambientes que utilizam @fastify/static nas versões afetadas e com a opção 'list' habilitada.
Como mitigação temporária, desabilite a opção 'list' em @fastify/static. No entanto, isso limitará a funcionalidade de listagem de diretórios.
Existem ferramentas de análise de segurança estática e dinâmica que podem detectar esta vulnerabilidade. Recomenda-se realizar uma verificação de segurança completa após a atualização.
Você pode verificar a versão usando o comando npm list @fastify/static na linha de comando.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.